近日，有研究人员在网络存储供应商QNAP的Web控制台中发现了一系列高严重性的漏洞，这些漏洞可以使经过身份验证的攻击者获得权限并在系统上执行任意命令。

不过QNAP在安全公告中表示，它已经解决了Q'Center虚拟设备中的问题，并敦促客户更新到最新版本。

基于Web的平台Q'center允许用户跨多个站点管理网络附加存储。根据SecureAuth和CoreSecurity在周三发布的安全公告，Q'center版本1.6.1056和Q'center版本1.6.1075都受到了影响。

研究人员表示，在QCenter Web控制台中发现多个漏洞，允许攻击者在系统上执行任意命令，QNAP的QCenter Web控制台包含一项功能，允许经过身份验证的攻击者提升系统权限。

QNAP在一份安全公告中表示已修复Q'center Virtual Appliance 1.7.1083及更高版本中的问题，并敦促客户更新到最新版本。

研究人员发现了五个漏洞，包括Web应用程序的API端点中允许权限升级的信息暴露问题; 以及不同管理功能和设置配置中的四个命令注入问题。

漏洞分析

研究人员在应用程序的API端点中发现了权限升级缺陷（CVE-2018-0706），该端点用于返回有关数据库中定义的帐户的信息。

研究人员说，经过身份验证的用户可以访问该端点并查看正在返回的信息。在这里，他们可以看到一个额外的字段（标记为“new_password”），其中包含管理员的密码，是用base64编码的。

任何经过身份验证的用户都可以访问此API端点并检索管理员用户的密码，因此能够以管理员身份登录。

从那里，四个命令执行缺陷可以使攻击者能够在密码输入中注入命令。

其中一个命令执行漏洞（CVE-2018-0707）使黑客能够为管理用户调整“更改密码”功能。

当管理员用户执行密码更改时，应用程序会执行操作系统命令以影响更改。研究人员表示，由于存在缺陷，输入传递到操作系统时没有正确审核，允许攻击者执行任意命令。

API需要发送以base64编码的密码，这使得注入命令变得更加容易，因为我们不需要绕过任何过滤器。对于Web应用程序中的管理员用户，操作系统上还有一个支持用户。

一旦黑客从权限提升漏洞获取操作系统密码，他们就可以修改网络配置。

然而，即使超出这个范围，研究人员发现Web控制台中的多个缺陷也可以使具有“高级用户”配置文件的用户，尽管无法访问Web应用程序界面，也可以执行各种功能。

此配置文件还能够通过SSH设置配置更新中的命令执行错误（CVE-2018-0710）修改SSH配置、 修改网络配置（CVE-2018-0708）并修改日期配置（CVE-2018-0709）。

Core Security首先向QNAP通报了3月13日的漏洞，包括咨询草案。研究人员表示，其他产品和版本可能会受到影响，但未经过测试。这些漏洞是由Core Security Consulting Services的Ivan Huertas发现的。

要更新Q'Center虚拟设备，客户可以在其Web浏览器上访问qnap.com/utilities，并下载Q'Center虚拟设备修补程序。